Skip to main content

Entfernen Sie den Search Alpha-Virus (Search Marquis-Umleitung) vom Mac

Erfahren Sie, wie sich das Virus search-alpha.com auf einem Mac infiziert, wie es sich äußert, wenn es sich darin befindet, und welche Techniken effektiv sind, um diesen Browser-Hijacker zu entfernen.

Bedrohungs-Profil
Name Search-Alpha (search-alpha.com) Browser-Hijacker
Kategorie Adware, Umleitungs-Virus, potenziell unerwünschte Anwendung (PUA)
IP-Adresse 18.66.147.101
Verwandte Domains search-alpha.com, searchmarquis.com, search-location.com, api.lisumanagerine.club, m.nearbyme.io, search1.me, chillsearch.xyz
Symptome Umleitung des Webbrowsers auf Bing über search-alpha.com, Hinzufügen von gesponsertem Inhalt zu Suchergebnissen, Verlangsamung des Systems, Widerstand gegen reguläre Entfernungsversuche
Verbreitungstechniken Falsche Adobe Flash Player Update-Popups, mit Malware infizierte Bundles, Spam
Schweregrad Mittel
Schäden Unerwünschte Änderungen der Browsereinstellungen, Datenschutzprobleme aufgrund der Nachverfolgung von Internetaktivitäten, Umleitung von Suchanfragen, Werbung oberhalb des sichtbaren Bereichs
Entfernung Scannen Sie Ihren Mac mit Jetzt herunterladen, um alle mit dem Browser-Hijacker verbundenen Dateien zu erkennen. Verwenden Sie das Tool, um die Infektion bei Fund zu entfernen.

Was ist der Search-Alpha Mac-Virus?

Die berüchtigte und geniale Cybercrime-Gruppe, die vor Jahren den Search Marquis Mac-Umleitungs-Virus entwickelt hat, hat dieser langjährigen Kampagne kürzlich ein Upgrade verpasst. Die skrupellosen Akteure scheinen jetzt eine neue Landing-Domain zu verwenden, die Opfer in ein Labyrinth der Browser-Umleitung führt. Die alte Domain searchmarquis.com wird nach und nach von search-alpha.com abgelöst, da in den letzten Wochen eine dramatische Zunahme von Berichten über solche Vorfälle von Benutzern festgestellt wurde. Im Moment ist es schwer zu sagen, warum genau diese Änderung vorgenommen wurde - es könnte die Folge davon sein, dass die vorherige URL aufgrund ihres schlechten Rufs stärker auf die schwarze Liste gesetzt wurde, oder es könnte auf eine Änderung der internen Arbeitsweise der Gruppe zurückzuführen sein. Wie dem auch sei, search-alpha.com wird zum neuen Problem für Mac-Besitzer, die beim Herunterladen von Dateien nicht ausreichend vorsichtig sind und versehentlich die Bösartigkeit autorisieren.

Search-alpha.com ist eine Nachahmung von Search Marquis und manipuliert Webbrowser auf die gleiche Weise

Abgesehen vom Domain-Namen gibt es kaum etwas, das diese zweifelhafte Website von ihrem Vorgänger unterscheidet. Sie tarnt sich immer noch als gewöhnliche Suchmaschinen-Startseite mit minimalistischem Design, das lediglich eine Suchleiste sowie Links zu Datenschutzrichtlinien, Endbenutzer-Lizenzvereinbarung und einem Kontaktformular umfasst. In Bezug auf diese Link-Trio ist die Suche Marquis-Vergangenheit allgegenwärtig, da sich auf keiner dieser Seiten etwas geändert hat. Dies legt nahe, dass die ganze Geschichte ein Testlauf sein könnte und die Strategie in Kürze weitere Anpassungen erfahren könnte. Der aktualisierte Virus erbt auch die grundlegenden Merkmale dieser Kampagne. Er leitet immer noch auf Bing oder in einigen Fällen auf die betrügerische Seite nearbyme.io um. Das ultimative Ziel dieses böswilligen Vorgehens besteht darin, den Verkehr im macOS-Ökosystem zu monetarisieren, was die Cyberkriminellen anscheinend seit geraumer Zeit als lohnenswert erachten.

Die Search-Alpha-Umleitung führt zu Bing

Die Websites, auf denen die Opfer letztendlich landen, sind nur die Spitze des Eisbergs. Auf dem Weg dorthin passieren noch viele interessante Dinge. Wenn man den Umleitungsprozess genauer betrachtet, stellt sich heraus, dass mehrere weitere URLs Teil des Plans der Kriminellen sind. Jede dieser URLs wird nur für einen kurzen Moment in der Adressleiste oder im Statusbereich am unteren Rand des Browserfensters angezeigt. Der erste String ist search-location.com, den ich vor etwa einem halben Jahr dokumentiert und analysiert habe. Es scheint ein Ersatz für Search Baron (searchbaron.com) zu sein, der in den letzten Monaten an Häufigkeit abgenommen hat. Als Nächstes springt der Verkehr schnell zu api.lisumanagerine.club, einer weiteren bedeutenden Komponente der Search Marquis-Kampagne. Das Einzige, was sich an letzterer geändert hat, ist, dass in einigen Episoden der Tab-Titel kurz eine merkwürdige Buchstabenkombination anzeigt, nämlich LPF. Die Bedeutung dieses Akronyms im Zusammenhang mit diesem speziellen Angriff ist derzeit unbekannt.

Der Umleitungsprozess beinhaltet mehrere sekundäre URLs

Wie zuvor zeigt die schädliche Anwendung, die die search-alpha.com-Umleitung verursacht, eine erhebliche Persistenz. Sie ist schwer zu entfernen, und die nachteiligen Änderungen, die sie verursacht, können nicht auf herkömmliche Weise rückgängig gemacht werden. Die falschen Such-, Startseiten- und Neuer-Tab-Seiten-Einstellungen können zwar in der Konfigurationsoberfläche des betroffenen Browsers aufgeführt sein, aber das Löschen oder Ändern ist nur eine vorübergehende Lösung. Das liegt an einem grundlegenden Element der Aktivität des Schadcodes - einem Mac-Konfigurationsprofil, das in den Systemeinstellungen ohne die Erlaubnis und Kenntnis des Benutzers eingeschrieben ist. Normalerweise wird diese harmlose Funktion von Netzwerkadministratoren in Unternehmen genutzt, um Unternehmensrichtlinien zur Nutzung von auf den Maschinen installierter Software durchzusetzen. Doch die Kriminellen haben gelernt, diese Funktion zu missbrauchen, sodass Opfer Schwierigkeiten haben, bestimmte Einstellungen zu korrigieren.

Mac-Konfigurationsprofil, hinzugefügt vom search-alpha.com-Virus

Im Fall des betreffenden Virus bezieht sich das dubiose Geräteprofil hauptsächlich auf Webbrowser. Es konfiguriert Google Chrome, Safari oder Mozilla Firefox so, dass search-alpha.com als Standardort aufgerufen wird, wenn bestimmte Ereignisse eintreten (siehe Screenshot oben). Neben der Umleitung des Internetverkehrs ist eine prominente Folge dieser Eigenart in Chrome die Benachrichtigung "Verwaltet von Ihrer Organisation", die angezeigt wird, wenn Sie das Haupt-Dropdown-Menü öffnen. Um diesen Trick anzuwenden, verwendet der schädliche Code bereits in einem frühen Stadium der Infektion einen speziellen Terminalbefehl.

In diesem Zusammenhang beinhaltet das typische Szenario für eine Mac-Infektion menschliches Versagen. Es beginnt mit dem Herunterladen einer Anwendung, die durch ein fragwürdiges Pop-up oder eine andere Art von Werbung auf einer bösartigen oder kompromittierten Website beworben wird. Das Installationspaket besteht tatsächlich aus einem Bundle, das aus mehreren Programmen besteht, wobei das klar erkennbare Programm harmlos ist. Das Problem besteht darin, dass durch das Klicken auf "OK" für die "empfohlene" oder "express" Installationsoption die Hauptanwendung zusammen mit versteckten Schadkomponenten installiert wird, zu denen auch der Search-Alpha-Virus gehört. Daher ist der effektivste Weg, um diese bösartige Bedrohung zu vermeiden, sich nicht mit Software-Bundles zu beschäftigen, die über Werbung auf zufälligen Websites verbreitet werden. Mindestens sollte die "benutzerdefinierte" Option ausgewählt werden, um verdächtige Komponenten des Pakets abzuwählen. Wenn der Browser-Hijacker bereits auf Ihrem Mac aktiv ist, versuchen Sie einige der erprobten Entfernungsverfahren unten. Und denken Sie daran, dass Online-Hygiene nicht nur die Privatsphäre betrifft, sondern auch die Sicherheit Ihrer Geräte.

Manuelle Entfernung des Search-alpha.com-Virus für Mac

Die unten stehenden Schritte führen Sie durch die Entfernung dieser potenziell unerwünschten Anwendung. Befolgen Sie die Anleitungen in der angegebenen Reihenfolge.

  1. Öffnen Sie das Gehe zu Menü in der Finder-Leiste Ihres Mac und wählen Sie Dienstprogramme wie unten dargestellt. 

    Gehen Sie auf Dienstprogramme

  2. Lokalisieren Sie das Symbol Aktivitätsanzeige auf dem Bildschirm Dienstprogramme und doppelklicken Sie darauf.

    Wählen Sie Aktivitätsanzeige

  3. In der Activity Monitor-App suchen Sie nach Search-Alpha oder einem anderen verdächtigen Prozess. Um Ihre Suche einzuschränken, konzentrieren Sie sich auf unbekannte ressourcenintensive Einträge in der Liste. Beachten Sie, dass der Name nicht unbedingt mit der Art und Weise zusammenhängt, wie sich die Bedrohung manifestiert, daher müssen Sie Ihrem eigenen Urteilsvermögen vertrauen. Wenn Sie den Schuldigen identifiziert haben, wählen Sie ihn aus und klicken Sie auf das Stopp-Symbol oben links auf dem Bildschirm.

    Bösartigen Prozess stoppen

  4. Wenn ein Folgedialogfeld erscheint, in dem Sie gefragt werden, ob Sie sicher sind, dass Sie den störenden Prozess unterbinden möchten, wählen Sie die Option Sofort beenden.

    Wählen Sie die Option Sofort beenden

  5. Klicken Sie im Finder erneut auf das Menüsymbol Gehe zu und wählen Sie Gehe zum Ordner. Sie können auch das Tastaturkürzel Command-Shift-G anwenden. 

    Verwenden Sie die Gehe zum Ordner Funktion

  6. Tippen Sie /Library/LaunchAgents im Ordnersuchdialog und klicken Sie auf die Schaltfläche Öffnen.

    Öffnen Sie den Ordner /Library/LaunchAgents

  7. Untersuchen Sie den Inhalt des LaunchAgents-Ordners nach verdächtig aussehenden Elementen. Beachten Sie, dass die Namen von Dateien, die von Malware erstellt werden, keine klaren Hinweise darauf geben können, dass sie bösartig sind. Sie sollten also nach kürzlich hinzugefügten Einträgen suchen, die von der Norm abweichen.
    Als Beispiel hier sind einige LaunchAgents im Zusammenhang mit der Search-Alpha Mac-Infektion: com.AnyBizSoftPDFtoExcel.plist, com.fsefosian.eftsime.plist, com.readerupdate.plist und com.systemmond.plist. Wenn Sie Dateien entdecken, die nicht auf der Liste erscheinen sollten, ziehen Sie sie einfach in den Papierkorb.

    Inhalt des Ordners LaunchAgents auf Root-Ebene

  8. Verwenden Sie erneut die Suchfunktion Gehe zum Ordner, um zum Ordner mit dem Namen ~/Library/Application Support zu navigieren (beachten Sie das Tilde-Symbol vor dem Pfad).

    Öffnen Sie den Ordner ~/Library/Application Support

  9. Wenn Sie den Ordner "Application Support" öffnen, identifizieren Sie darin kürzlich erzeugte verdächtige Ordner und schieben Sie diese in den Papierkorb. Ein schneller Tipp ist,  suchen Sie nach Objekten, deren Namen nichts mit Apple-Produkten oder Apps zu tun haben, die Sie absichtlich selbst installiert haben. Einige Beispiele für bekanntermaßen verdächtige Ordnernamen sind com.AuraSearchDaemonProgressSite und IdeaShared.

    Inhalt des Ordners Application Support

  10. Geben Sie die Zeichenfolge ~/Library/LaunchAgents (vergessen Sie nicht das Tilde-Zeichen) im Suchbereich Gehe zum Ordner ein.

    Öffnen Sie das Verzeichnis ~/Library/LaunchAgents

  11. Das System zeigt die LaunchAgents im Home-Verzeichnis des aktuellen Benutzers an. Suchen Sie nach den folgenden verdächtigen Elementen, die mit dem Search-Alpha.com-Umleitungs-Virus in Verbindung stehen: com.AnyBizSoftPDFtoExcel.plist, com.fsefosian.eftsime.plist, com.readerupdate.plist und com.systemmond.plist. Ziehen Sie diese Dateien in den Papierkorb.

    Inhalt des Ordners LaunchAgents im Home-Verzeichnis des Anwenders

  12. Geben Sie /Library/LaunchDaemons in das Suchfeld Gehe zum Ordner ein. 

    Gehe zu /Library/LaunchDaemons

  13. Versuchen Sie im Pfad LaunchDaemons die Dateien zu lokalisieren, die von der Malware zur Persistenz verwendet werden. Mehrere Beispiele für solche von Mac-Infektionen abgeschnittenen Elemente sind com.ConnectionCache.system.plist und com.mulkeyd.plist. Löschen Sie die verdächtigen Dateien sofort.

    Inhalt des Ordners LaunchDaemons

  14. Klicken Sie im Finder Ihres Macs auf das Menü-Symbol Gehe zu und wählen Sie in der Liste Programme.

    Gehe zum Bildschirm Programme auf dem Mac

  15. Suchen Sie den Eintrag für eine App, die dort eindeutig nicht hingehört und verschieben Sie sie in den Papierkorb. Wenn diese Aktion Ihr Admin-Passwort zur Bestätigung erfordert, geben Sie es ein.

    Ziehen Sie die schädliche App in den Papierkorb

  16. Öffnen Sie das Apple-Menü und wählen Sie Systemeinstellungen.

    Öffnen Sie Systemeinstellungen

    Systemeinstellungen öffnen

  17. Gehen Sie zu Benutzer & Gruppen und klicken Sie auf die Registerkarte Anmeldeobjekte.

    Gehen Sie zu Benutzer & Gruppen

    Das System zeigt die Liste der Objekte an, die beim Hochfahren des Computers gestartet werden. Suchen Sie dort die potentiell unerwünschte Anwendung und klicken Sie auf die Schaltfläche "-" (Minus).

    Unerwünschtes Anmeldeobjekt löschen

  18. Wählen Sie nun unter Systemeinstellungen Profile. Suchen Sie in der linken Seitenleiste nach einem bösartigen Objekt. Mehrere Beispiele für Konfigurationsprofile, die von Mac-Werbesoftware erstellt wurden, sind Chrome Settings, AdminPrefs, MainSearchPlatform und Safari Preferences. Wählen Sie das bösartige Objekt aus und klicken Sie unten auf das Minuszeichen, um es zu eliminieren.

    Wählen Sie nun unter Systemeinstellungen Profile

    Böswilliges Konfigurationsprofil von Mac entfernen

    Wenn Ihr Mac von Werbesoftware infiltriert worden ist, hat die Infektion höchstwahrscheinlich auch dann noch Ihren Standard-Webbrowser im Griff, wenn Sie die zugrunde liegende App zusammen mit ihren Komponenten, die über das System verstreut sind, entfernen. Verwenden Sie die unten stehenden Anweisungen zur Browser-Bereinigung, um die übrig bleibenden Folgen dieses Angriffs anzugehen.

Entfernen des Search-Alpha im Web Browser auf dem Mac los

Zunächst sollten die vom Search-Alpha redirect-Virus übernommenen Webbrowser-Einstellungen auf ihre Standardwerte zurückgesetzt werden. Dadurch werden zwar die meisten Ihrer Anpassungen, der Verlauf Ihres Web-Surfens und sämtliche temporären Daten, die von Webseiten gespeichert wurden, gelöscht, aber die schädlichen Beeinträchtigungen sollten ebenfalls beendet werden. Die Übersicht über die Schritte, wie dieses Verfahrens durchgeführt wird, ist wie folgt:

  1. Entfernen Sie den Search-Alpha Virus vom Safari
    • Öffnen Sie den Browser und gehen Sie zum Safari menü. Wählen Sie in der Dropdown-Liste Einstellungen.

      Gehen Sie zu Einstellungen in Safari

    • Wenn der Dialog Einstellungen erscheint, klicken Sie auf die Registerkarte Erweitert und aktivieren Sie die Option "Menü “Entwickler” in der Menüleiste anzeigen".

      Erweiterte Registerkarte unter Safari-Einstellungen

    • Jetzt, wo der Eintrag Entwickler zum Menü Safari hinzugefügt worden ist, erweitern Sie ihn und klicken Sie auf Cache-Speicher leeren.

      Leeren Sie die Cache-Speicher in Safari

    • Wählen Sie jetzt Verlauf im Menü Safari und klicken Sie in der Dropdown-Liste auf Verlauf löschen.

      Löschen Sie den Verlauf in Safari

    • Safari zeigt einen Dialog an, in dem Sie gebeten werden, den Zeitraum anzugeben, für den diese Aktion gelten soll. Wählen Sie gesamten Verlauf, um einen maximalen Effekt sicherzustellen. Klicken Sie auf die Schaltfläche Verlauf löschen, um die Aktion zu bestätigen und zu beenden.

      Wählen Sie gesamten Verlauf zum Löschen aus

    • Gehen Sie zurück zu den Safari-Einstellungen und klicken Sie oben auf die Registerkarte Datenschutz. Suchen Sie die Option Websitedaten verwalten und klicken Sie darauf.

      Option Websitedaten verwalten unter der Registerkarte Datenschutz

    • Der Browser zeigt einen Folgebildschirm an, in dem die Webseiten aufgelistet sind, die Daten über Ihre Internetaktivitäten gespeichert haben. Dieser Dialog enthält zusätzlich eine kurze Beschreibung, was das Löschen bewirkt: Sie werden möglicherweise von einigen Diensten abgemeldet und stoßen nach dem Vorgang auf andere Änderungen des Website-Verhaltens. Wenn Sie damit einverstanden sind, klicken Sie auf die Schaltfläche Alle entfernen.

      Bestätigungsdialog

    • Starten Sie Safari neu
  2. Entfernen des Search-Alpha von Google Chrome
    • Öffnen Sie Chrome, klicken Sie im oberen rechten Teil des Fensters auf das Symbol Google Chrome anpassen und einstellen (⁝) und wählen Sie Einstellungen in der Dropdown-Liste.

      Chrome Einstellungen

    • Wenn Sie sich im Bereich Einstellungen befinden, wählen Sie Erweitert.
    • Scrollen Sie nach unten zum Abschnitt Einstellungen zurücksetzen.

      Abschnitt Einstellungen zurücksetzen

    • Bestätigen Sie das Zurücksetzen von Chrome in einem Dialogfeld, das erscheinen wird. Wenn der Vorgang abgeschlossen ist, starten Sie den Browser neu und überprüfen Sie ihn auf Malware-Aktivität.

      So setzen Sie die Einstellungen in Chrome auf dem Mac zurück

  3. Entfernen des Search-Alpha vom Mozilla Firefox
    • Öffnen Sie Firefox und gehen Sie zu Hilfe - Informationen zur Fehlerbehebung (oder tippen Sie about:support in die URL-Leiste ein und drücken Sie die Eingabetaste).

      Firefox Hilfe

      Informationen zur Fehlerbehebung

    • Wenn Sie sich auf dem Bildschirm Informationen zur Fehlerbehebung befinden, klicken Sie auf die Schaltfläche Firefox bereinigen.

      Firefox auf dem Mac neu starten

    • Bestätigen Sie die beabsichtigten Änderungen und starten Sie Firefox neu.

Entfernen Sie das search-alpha.com-Virus mithilfe des Combo Cleaner-Entfernungstools

Die Wartungs- und Sicherheitsanwendung für den Mac namens Combo Cleaner ist ein One-Stop-Tool zur Erkennung und Entfernung des Search-Alpha Virus. Diese Technik hat wesentliche Vorteile gegenüber der manuellen Bereinigung, da das Programm stündlich Updates der Virendefinitionen erhält und selbst die neuesten Mac-Infektionen genau erkennen kann.

Außerdem wird die automatische Lösung die Kerndateien der Malware tief in der Systemstruktur, deren Lokalisierung sonst eine Herausforderung darstellen könnte, finden. Hier ist ein Lösungsweg, um das Search-Alpha Problem mit Combo Cleaner zu lösen:

  1. Laden Sie das Installationsprogramm von Combo Cleaner herunter. Nachdem Sie das gemacht haben, doppelklicken Sie auf die Datei combocleaner.dmg und folgen Sie den Anweisungen zur Installation des Tools auf Ihren Mac.

    Jetzt herunterladen

    Durch das Herunterladen von Anwendungen, die auf dieser Webseite empfohlen werden, erklären Sie sich mit unseren Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinie. Der gratis Scanner prüft, ob Ihr Mac infiziert ist. Um die Malware loszuwerden, müssen Sie die Premium-Version von Combo Cleaner erwerben.

  2. Öffnen Sie die Anwendung von Ihrem Launchpad aus und lassen Sie sie die Datenbank mit den Malware-Signaturen aktualisieren, um sicherzustellen, dass sie die neuesten Bedrohungen erkennen kann.
  3. Klicken Sie auf die Schaltfläche Combo Scan starten, um Ihren Mac auf böswillige Aktivitäten sowie auf Leistungsprobleme zu überprüfen.

    Combo Cleaner Mac scan progress

  4. Untersuchen Sie die Scan-Ergebnisse. Wenn der Bericht "Keine Bedrohungen" besagt, sind Sie mit der manuellen Bereinigung auf dem richtigen Weg und können den Web-Browser, der aufgrund der Nachwirkungen des Malware-Angriffs möglicherweise weiterhin untätig bleibt, sicher aufräumen (siehe Anweisungen oben).

    Combo Cleaner scan report – no threats found

  5. Falls Combo Cleaner bösartigen Code entdeckt hat, klicken Sie auf die Schaltfläche Ausgewählte Objekte entfernen und lassen Sie das Dienstprogramm die Search-Alpha Bedrohung zusammen mit anderen Viren, PUPs (potenziell unerwünschten Programmen) oder Junk-Dateien, die nicht auf Ihren Mac gehören, entfernen.

    Combo Cleaner – threats found

  6. Wenn Sie sich doppelt vergewissert haben, dass die bösartige Anwendung deinstalliert ist, könnte die Fehlerbehebung auf Browserebene immer noch auf Ihrer Aufgaben-Liste stehen. Wenn Ihr bevorzugter Browser betroffen ist, greifen Sie auf den vorherigen Abschnitt dieses Tutorials zurück, um zum stressfreien Surfen im Internet zurückzukehren.
25

War dieser Artikel hilfreich? Bitte, bewerten Sie das.

There are no comments yet.
Authentication required

You must log in to post a comment.

Log in